2023年7月9日发(作者：)

SourceInsight4.0安装使⽤教程⼀、说明Source Insight是什么：Source Insight是⼀款代码编缉、浏览、分析⼯具。Source Insight与⽂本编缉器有什么区别：Notepad++等⽂本编缉器也可以编缉、浏览代码，但分析能⼒就⽐较弱；如跳转函数定义处、跳转函数调⽤处等都⽆能为⼒。Source Insight与集成开发环境有什么区别：IDE除了代码编缉、浏览、分析外还能编译、调试、运⾏；Source Insight还能存在主要是在分析⽅⾯做得更好：⼀是多了⼀个调⽤函数上下⽂窗⼝、⼆是项⽬全局查找功能⽐较好、三是前进后退⽐较好。总⽽⾔之，⼀⽅⾯Source Insight是代码分析较好的⼯具。另⼀⽅⾯也不⽤太极端凡代码风析必Source Insight，你想⽤IDE想⽤Notepad都是可以的。另外，我们这⾥⼀直说代码分析⽽不说代审计，是因为Source Insight和Wireshark⼀样并不只是为安全⼈员设计的，⼀般的程序员也会⽤。分析侧重于弄懂整个代码流程，审计侧重于在理解代码基础上找出漏洞。

⼆、安装Source Insight是收费软件⽽我们喜欢使⽤学习版，加上安装也就是双击安装就可以了，就不多说了。可参考链接：

三、使⽤3.1 创建项⽬启动Source Insight界⾯如下图，依次点击Project----New Project创建项⽬New project name----这⾥的project name是Source Insight中起的项⽬名，⽽不是待审计的项⽬的项⽬名，也就是说不管后边要审计什么项⽬这⾥想起什么名字都可以。但为了⽅便起见还是建议填的项⽬名与后续要审计的项⽬名⼀致。⽐如我这⾥后续要审计⼀个叫BankSystem的项⽬，这⾥的New project name也就填BankSystem。Where do you want to store the project data files?----这个⽬录是⽤于存放记录代码审计过程中的操作步骤、配置的⽂件，⽽不是待审计项⽬、代码的位置，这点要搞清楚。Project Source Directory----这⾥选择待审计项⽬的⽬录，下⼀步会从这⾥向项⽬导⼊代码⽂件（这⾥只是导⼊位置⽽不是真把代码复制⼀份进去）。选择要添加的⽂件，最简单的直接点击“Add Tree” 3.2 代码审计项⽬创建完成后界⾯如下。右侧窗⼝----导⼊的待审查⽂件展现在该位置，双击即可查看⽂件内容。还有另外以⽬录形式展现等形式，⾃⼰实践时多在那点⼏下就懂了。中间窗⼝----在左侧窗⼝双击⽂件后⽂件内容的展⽰窗⼝。该窗⼝是Source Insight的主窗⼝。左侧窗⼝----展⽰当前在中间窗⼝打开的⽂件导⼊的库、存在的类、类的属性及⽅法。底部窗⼝----展⽰当前光标指向的属性、⽅法的定义处的上下⽂。在“”⼀⽂中我们说，代码审计有正向跟踪数据流和逆向追踪数据流两个思路，前者要搜索输⼊函数看数据是否流向漏洞签名函数，后者搜索漏洞签名函数看数据是否源于输⼊函数。不管哪种思路⾸先需要的都是函数搜索。我们以全局搜索sql语句执⾏函数executeUpdate为例。使⽤“Crtl+F”打开查找对话框如果直接点击Search只会在当前主窗⼝打开的⽂件内搜索，项⽬全局搜索我们需要点击“Files”，勾选“Project Wide”再点击Search。当然也可以通过主菜单----Search----Search Project唤出与下图类似的查找对话框。 查找完成后，即会出现如下图的搜索结果窗⼝，其中列出了当前审计项⽬中所有使⽤executeUpdate⽅法的位置。点击各位置前⽅的红⾊按钮即可跳转到该位置的具体代码，使⽤左上⾓的前进后退按钮可将主窗⼝切换到⾃⼰前⼀步或后⼀步主窗⼝展⽰的窗⼝。